いざ！ という時にあわてないためのウイルス対策「運用」再考：いま、ウイルス対策を再考する：運用編（5/5 ページ）

[二木真明（住商エレクトロニクス），ITmedia]

　復旧作業では、駆除ツールの入手先や部署単位の配布方法、復旧作業の体制、重要業務から先に復旧させるための対応の優先順位、全体の指揮、報告系統と責任体制などが、あらかじめ決められていないと、必ず混乱を来たす。複数のシナリオに基づいて、想定された事態に対応できるような形をあらかじめ作り、最低でも机上シミュレーションくらいはしておいたほうがいいだろう。

　緊急時の復旧作業には人員確保が必要なため、アウトソース業者を使うことも考えられる。だがその場合でも、復旧手順や方法を指示できなければ、PCそのものの動作は復旧できても、業務を再開できるレベルまでの復旧は困難である。

　大量感染を伴わない、特定の目的を持った不正プログラムを発見したような場合の対応については、別の観点も必要だ。明らかにその組織を狙った犯罪行為が想定できるような場合は、感染PCを安易に復旧せず、代替機を用意して業務を復旧し、実機は証拠の保全のために確保しておくようなことも必要になる。

　フォレンジックの観点から言えば、ネットワークコネクタを抜いた状態で電源を切らずにおいておき、専門家に解析を依頼する、といった対応も必要だ。このような解析はきわめてデリケートなものだ。もし、このタイプの不正プログラム感染が疑われる場合は独断を下さず、最初からコンピュータフォレンジックの専門家に相談して指示を請うのがよいだろう。

Plan、Do、そしてCheck……

　ウイルス感染騒動も終わってしまえば、何事もなかったような日常が戻ってくる。だが、ウイルス対策を考える立場にある人たちの仕事は、そこから始まる。感染原因の特定と再発防止策の検討、緊急対応状況のレビューと対応方法の見直しなどがその仕事だ。

図8●不断のPDCAサイクルがセキュリティを高める。特に「Action」は重要だ

　ウイルスやワームを持ち込んだ人間を見つけ出し、始末書を書かせるだけならば簡単だが、そのような事件の再発を組織的に防止するとなると、なかなか簡単ではない。逆に言えば、ここが担当者の腕の見せ所でもある。災い転じて福となせるかどうかが大きなポイントだ。感染は不幸な事件ではあるが、これは自社のセキュリティ対策を一歩進める大きなチャンスでもあるから、最大限に利用したい。

　実際の被害を明らかにして、金額換算の被害規模を算出（参考：IPAによる「国内・海外におけるコンピュータウイルス被害状況調査」）することや、想定していたシナリオを実際の事故で置き換え、不十分だった対策や対応方法の見直しを行うといった作業は必須だ。その結果、必要と思われる新たな対策のための投資を経営層に対して提言していくことも、対策担当者やその所属する部門の重要な仕事である。

　たとえ僅かな被害であっても、経営層がその実態を掌握することには大きな意味がある。なぜならば、ウイルス、ワーム感染事故の結果生じる事態に最終的に責任を持たなければいけないのは、彼ら経営層であるがゆえ、対策の推進役でもなければいけないからだ。

　さて、今回は実際の運用や、危機管理の側面からウイルス対策を考えてみた。最終回は、ちょっと趣を変えて、ドキュメンタリー風にウイルス／ワーム感染事故のケーススタディを行ってみたい。